3월에 터진 익스체인지 서버 사태는 지금까지 공격자들의 변화무쌍한 익스플로잇으로 점철되어 있다. 게다가 4월에 추가로 발견된 제로데이 취약점들이 있어 이 사태는 여전히 전성기에 있다. 수그러들지 않은 이 사태를 가만히 지켜볼 수는 없다.
[보안뉴스 문가용 기자] 보안 업계에 있어 3월은 잔혹했다. 마이크로소프트 익스체인지 서버 사태 때문이다. 사건이 공개되고 패치가 배포되고서 두 달이 지났지만, 아직도 이 사건은 끝나지 않은 채 진행 중이다.
[이미지 = utoimage]
3월 1일 보안 업체 헌트레스(Huntress)는 승인을 받지 못한 자가 마이크로소프트 익스체인지 서버를 완전히 장악할 수 있게 해 주는 새로운 취약점들을 발견했다. 그 시점까지 한 번도 공개된 적이 없는 취약점들이었다. 심지어 일부 기업들은 실제 공격에 노출되어 있기도 했다. 바로 다음 날인 3월 2일, MS는 관련하여 보안 권고문을 내놓았다. 하지만 권고문의 내용은 많이 아쉬웠다.
MS의 최초 경고문은 그 취약점들로 인한 익스플로잇 위험성이 매우 낮으며, 고도의 표적 공격에만 활용될 수 있다는 내용을 담고 있다. 하지만 익스플로잇 서버는 공공 인터넷에 직접 연결되어 있는 요소다. 또한 해당 취약점들은 거의 모든 버전의 익스체인지 서버에 영향을 주고 있었다. 결코 ‘적은 수의 한정된 피해자들만 걱정해야 할’ 취약점이 아니었다. 미국에서만 잠정적으로 위험에 노출된 조직의 수만 3만 개가 넘어가고 있었다.
일부 보안 전문가들은 곧바로 MS와 다른 견해를 내놓기 시작했다. 이미 1월 6일부터 취약점 익스플로잇이 시작되었다는 내용도 있었다. 이 취약점들을 연쇄적으로 익스플로잇 할 경우 원격 코드 실행 공격을 할 수 있게 되고, 이를 통해 웹셸이라는 요소를 공격자들이 심었다는 것도 드러났다. 피해자들이 서버를 업데이트 해 취약점을 없앤다고 하더라도 공격자들은 이 웹셸을 통해 피해자의 시스템에 드나들 수 있었다.
이런 일들로 3월 초반부가 훌쩍 지나갔다. 혼돈의 시간이었다. MS가 부랴부랴 내놓은 패치가 제대로 작동하는지 확인할 시간조차 없었다. 게다가 웹셸이 이미 설치되어 있다면 패치를 적용하더라도 소용이 없는 것이나 마찬가지였다. 문제의 웹셸이 네트워크 어딘가에 있는지 확인하는 것도 여간 어려운 작업이 아니었다. 보안 업계는 바쁘게 움직였다. 사람들에게 어떻게 알릴지 몰라 레딧을 이용했고, 트위터에서 첩보를 수집하고 공유했다. 침해지표는 깃허브와 페이스트빈에 올렸다. 가장 빠르고 가장 사람들이 많이 볼만한 곳이라면 다 두들기고 다녔다.
보안 업계가 내뿜는 메시지 자체는 단순했다. “패치하세요!” 동시에 기업들이 웹셸 유무를 확인하는 걸 돕기 위해 IoC도 공유해야 했다. 특히 가장 눈에 띄던 차이나 초퍼(China Chopper)라는 웹셸이 요주의 ‘인물’이었다. 그 외 다른 위협 요소들이 발굴될 때마다 IoC를 개발하여 나눴다. 차이나 초퍼는 주로 C:\inetpub\wwwroot\aspnet_client라는 디렉토리 혹은 그 서브디렉토리에 설치되어 있었는데, 파일 이름에는 .aspx라는 확장자가 붙어 있었다.
웹셸은 한 번 침투에 성공하면 공격자가 자유롭게 드나들 수 있게 하는 것과 마찬가지이므로, 공격자들의 다음 행동을 예측하는 것이 매우 어려웠다. 공격자들은 관리자 계정을 탈취할 수도, 랜섬웨어를 심을 수도, 피해자 시스템을 봇넷으로 활용할 수도, 피해자의 웹사이트를 변조시킬 수도, 데이터를 훔쳐서 팔 수도 있었다.
그런데 대부분의 공격자들이 실제로 손에 들고 나타난 건 무엇이었을까? 현재까지 익스체인지 서버 공격자들이 제일 많이 활용한 건 암호화폐 채굴 멀웨어였다. 심지어 암호화폐 채굴로 유명한 과거의 봇넷 레몬덕(LemonDuck)도 익스체인지 사태를 타고 다시 출현했다. 이들은 파워셸을 활용해 시스템에 추가 요소들을 심고, 이를 RSA 알고리즘으로 복호화시키는 식으로 방어 솔루션의 눈을 피했다.
이러한 난독화와 복호화 과정을 여섯 번이나 거쳐야 레몬덕의 진짜 소스코드를 발견할 수 있다. 이 소스코드는 피해자의 아키텍처를 확인하고, 프로세서 유형을 탐지하며, 그에 따라 적절한 채굴 소프트웨어를 다운로드 해 설치하는 기능을 가지고 있었다. 공격 지속성을 확보하는 기능도 적절히 가지고 있어 시스템 리부트 후에도 실행이 됐고, 암호화폐를 꾸준히 채굴해 공격자의 주머니를 채웠다.
아직도 패치가 되지 않은 익스체인지 서버가 전체의 6%를 차지하고 있다. 즉, 암호화폐를 채굴하려고 혹은 랜섬웨어를 심으려고 혈안이 된 공격자들이 아직 ‘갈 곳이 있다’는 뜻이다. 그 외에도 또 어떤 기상천외한 것을 들고 올지 아직 모른다. 그러니 패치가 안 된 익스체인지 서버가 아직 있다는 건 결코 가볍게 넘겨서는 안 될 일이다.
게다가 MS는 4월 정기 패치를 통해 익스체인지 서버에서 추가로 발견된 제로데이 취약점을 공개하고 패치했다. 이 취약점들 역시 실제 공격에 활발히 익스플로잇 되고 있었다고 한다. 게다가 이 새 취약점들의 경우 익스플로잇이 그리 어렵지 않은 것으로 분석됐다. 공격자들은 이 취약점들 역시 가만히 두지 않을 것이다. 보안 업계는 계속해서 각종 플랫폼을 통해 IoC들을 공유할 것이다.
마이크로소프트 익스체인지 서버에서만 취약점들이 쓰나미처럼 몰려오는 때에, 자동화 기술에만 의존할 수 없다. 자동화는 중요한 기술임이 분명하지만 인간의 수동 분석력은 아직까지 ‘반드시 있어야 할’ 요소인 것도 마찬가지다. 익스체인지 서버 사태는 아직 끝나지 않았고, 공격자들이 이리 저리 비틀어대는 공격들에 대응하려면 누군가 사람의 눈으로 지켜봐야 한다. 보안 산업 전체의 대응이 여전히 필요하다.
글 : 존 해몬드(John Hammond), Huntress
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 보안 업계에 있어 3월은 잔혹했다. 마이크로소프트 익스체인지 서버 사태 때문이다. 사건이 공개되고 패치가 배포되고서 두 달이 지났지만, 아직도 이 사건은 끝나지 않은 채 진행 중이다.
[이미지 = utoimage]
3월 1일 보안 업체 헌트레스(Huntress)는 승인을 받지 못한 자가 마이크로소프트 익스체인지 서버를 완전히 장악할 수 있게 해 주는 새로운 취약점들을 발견했다. 그 시점까지 한 번도 공개된 적이 없는 취약점들이었다. 심지어 일부 기업들은 실제 공격에 노출되어 있기도 했다. 바로 다음 날인 3월 2일, MS는 관련하여 보안 권고문을 내놓았다. 하지만 권고문의 내용은 많이 아쉬웠다.
MS의 최초 경고문은 그 취약점들로 인한 익스플로잇 위험성이 매우 낮으며, 고도의 표적 공격에만 활용될 수 있다는 내용을 담고 있다. 하지만 익스플로잇 서버는 공공 인터넷에 직접 연결되어 있는 요소다. 또한 해당 취약점들은 거의 모든 버전의 익스체인지 서버에 영향을 주고 있었다. 결코 ‘적은 수의 한정된 피해자들만 걱정해야 할’ 취약점이 아니었다. 미국에서만 잠정적으로 위험에 노출된 조직의 수만 3만 개가 넘어가고 있었다.
일부 보안 전문가들은 곧바로 MS와 다른 견해를 내놓기 시작했다. 이미 1월 6일부터 취약점 익스플로잇이 시작되었다는 내용도 있었다. 이 취약점들을 연쇄적으로 익스플로잇 할 경우 원격 코드 실행 공격을 할 수 있게 되고, 이를 통해 웹셸이라는 요소를 공격자들이 심었다는 것도 드러났다. 피해자들이 서버를 업데이트 해 취약점을 없앤다고 하더라도 공격자들은 이 웹셸을 통해 피해자의 시스템에 드나들 수 있었다.
이런 일들로 3월 초반부가 훌쩍 지나갔다. 혼돈의 시간이었다. MS가 부랴부랴 내놓은 패치가 제대로 작동하는지 확인할 시간조차 없었다. 게다가 웹셸이 이미 설치되어 있다면 패치를 적용하더라도 소용이 없는 것이나 마찬가지였다. 문제의 웹셸이 네트워크 어딘가에 있는지 확인하는 것도 여간 어려운 작업이 아니었다. 보안 업계는 바쁘게 움직였다. 사람들에게 어떻게 알릴지 몰라 레딧을 이용했고, 트위터에서 첩보를 수집하고 공유했다. 침해지표는 깃허브와 페이스트빈에 올렸다. 가장 빠르고 가장 사람들이 많이 볼만한 곳이라면 다 두들기고 다녔다.
보안 업계가 내뿜는 메시지 자체는 단순했다. “패치하세요!” 동시에 기업들이 웹셸 유무를 확인하는 걸 돕기 위해 IoC도 공유해야 했다. 특히 가장 눈에 띄던 차이나 초퍼(China Chopper)라는 웹셸이 요주의 ‘인물’이었다. 그 외 다른 위협 요소들이 발굴될 때마다 IoC를 개발하여 나눴다. 차이나 초퍼는 주로 C:\inetpub\wwwroot\aspnet_client라는 디렉토리 혹은 그 서브디렉토리에 설치되어 있었는데, 파일 이름에는 .aspx라는 확장자가 붙어 있었다.
웹셸은 한 번 침투에 성공하면 공격자가 자유롭게 드나들 수 있게 하는 것과 마찬가지이므로, 공격자들의 다음 행동을 예측하는 것이 매우 어려웠다. 공격자들은 관리자 계정을 탈취할 수도, 랜섬웨어를 심을 수도, 피해자 시스템을 봇넷으로 활용할 수도, 피해자의 웹사이트를 변조시킬 수도, 데이터를 훔쳐서 팔 수도 있었다.
그런데 대부분의 공격자들이 실제로 손에 들고 나타난 건 무엇이었을까? 현재까지 익스체인지 서버 공격자들이 제일 많이 활용한 건 암호화폐 채굴 멀웨어였다. 심지어 암호화폐 채굴로 유명한 과거의 봇넷 레몬덕(LemonDuck)도 익스체인지 사태를 타고 다시 출현했다. 이들은 파워셸을 활용해 시스템에 추가 요소들을 심고, 이를 RSA 알고리즘으로 복호화시키는 식으로 방어 솔루션의 눈을 피했다.
이러한 난독화와 복호화 과정을 여섯 번이나 거쳐야 레몬덕의 진짜 소스코드를 발견할 수 있다. 이 소스코드는 피해자의 아키텍처를 확인하고, 프로세서 유형을 탐지하며, 그에 따라 적절한 채굴 소프트웨어를 다운로드 해 설치하는 기능을 가지고 있었다. 공격 지속성을 확보하는 기능도 적절히 가지고 있어 시스템 리부트 후에도 실행이 됐고, 암호화폐를 꾸준히 채굴해 공격자의 주머니를 채웠다.
아직도 패치가 되지 않은 익스체인지 서버가 전체의 6%를 차지하고 있다. 즉, 암호화폐를 채굴하려고 혹은 랜섬웨어를 심으려고 혈안이 된 공격자들이 아직 ‘갈 곳이 있다’는 뜻이다. 그 외에도 또 어떤 기상천외한 것을 들고 올지 아직 모른다. 그러니 패치가 안 된 익스체인지 서버가 아직 있다는 건 결코 가볍게 넘겨서는 안 될 일이다.
게다가 MS는 4월 정기 패치를 통해 익스체인지 서버에서 추가로 발견된 제로데이 취약점을 공개하고 패치했다. 이 취약점들 역시 실제 공격에 활발히 익스플로잇 되고 있었다고 한다. 게다가 이 새 취약점들의 경우 익스플로잇이 그리 어렵지 않은 것으로 분석됐다. 공격자들은 이 취약점들 역시 가만히 두지 않을 것이다. 보안 업계는 계속해서 각종 플랫폼을 통해 IoC들을 공유할 것이다.
마이크로소프트 익스체인지 서버에서만 취약점들이 쓰나미처럼 몰려오는 때에, 자동화 기술에만 의존할 수 없다. 자동화는 중요한 기술임이 분명하지만 인간의 수동 분석력은 아직까지 ‘반드시 있어야 할’ 요소인 것도 마찬가지다. 익스체인지 서버 사태는 아직 끝나지 않았고, 공격자들이 이리 저리 비틀어대는 공격들에 대응하려면 누군가 사람의 눈으로 지켜봐야 한다. 보안 산업 전체의 대응이 여전히 필요하다.
글 : 존 해몬드(John Hammond), Huntress
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
